2024年8月の「Windows Update」～致命的・悪用の報告ありも含む90件の脆弱性に対処

AI要約

Microsoftが月例のセキュリティ更新プログラムをリリースしました。脆弱性対処の重要性や最新のパッチ情報が含まれています。

深刻な脆弱性が9件特定され、悪用が確認されているものもあります。早急な対処が必要です。

さまざまなMicrosoft製品や関連ソフトウェアに対するセキュリティアップデートが提供されています。

2024年8月の「Windows Update」～致命的・悪用の報告ありも含む90件の脆弱性に対処

　米Microsoftは8月13日（現地時間）、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした（パッチチューズデー）。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで90件の脆弱性が新たに対処されている。

　このうち、深刻度最高の「Critical」（緊急）と評価されている致命的な脆弱性は以下の9件。サードパーティー製品のものも含まれる

・CVE-2024-38109：Azure Health Bot の特権昇格の脆弱性

・CVE-2024-38206：Microsoft Copilot Studio の情報漏えいの脆弱性

・CVE-2024-38166：Microsoft Dynamics 365 のクロスサイトスクリプトの脆弱性

・CVE-2022-3775：Redhat: CVE-2022-3775 grub2: Heap based out-of-bounds write when rendering certain Unicode sequences

・CVE-2023-40547：Redhat: CVE-2023-40547 Shim: RCE in HTTP boot support may lead to secure boot bypass

・CVE-2024-38159：Windows ネットワーク仮想化のリモートでコードが実行される脆弱性

・CVE-2024-38160：Windows ネットワーク仮想化のリモートでコードが実行される脆弱性

・CVE-2024-38140：Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性

・CVE-2024-38063：Windows TCP/IP のリモートでコードが実行される脆弱性

　すでに悪用が確認されている脆弱性は、以下の6件。深刻度は「CVE-2024-38213」が「Moderate」にとどまることを除けば、すべて「Important」と評価されている。

・CVE-2024-38189：Microsoft Project のリモートでコードが実行される脆弱性

・CVE-2024-38178：スクリプトエンジンのメモリ破損の脆弱性

・CVE-2024-38193：WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性

・CVE-2024-38106：Windows カーネルの特権の昇格の脆弱性

・CVE-2024-38107：Windows Power Dependency Coordinator の特権昇格の脆弱性

・CVE-2024-38213：Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性

　また、以下の4件は悪用の報告こそないものの、攻撃手法がすでに知られている。

・CVE-2024-38200：Microsoft Office のなりすましの脆弱性

・CVE-2024-38199：Windows Line Printer Daemon (LPD) サービスのリモートでコードが実行される脆弱性

・CVE-2024-21302：Windows 保護カーネルモードの特権の昇格の脆弱性

・CVE-2024-38202：Windows Update スタックの特権の昇格の脆弱性

　深刻度の評価は「Important」だが、今後の悪用に備えるためにもできるだけ早い対処が望ましい。

■ Windows 10/11およびWindows Server 2016/2019/2022

　最大深刻度は「緊急」（リモートでコードが実行される）。

・Windows 11 バージョン 23H2：KB5041585

・Windows 11 バージョン 22H2：KB5041585

・Windows 11 バージョン 21H2：KB5041592

・Windows 10 バージョン 22H2：KB5041580

・Windows Server 2022：KB5041160

・Windows Server 2019：KB5041578

・Windows Server 2016：KB5041773

　「Windows 11 バージョン 23H2/22H2」におけるハイライトは以下の通り。

・2024年7月非セキュリティプレビュー更新プログラムにおける改善の一部

・2024年7月のセキュリティ更新プログラムを適用すると、OSの再起動時に「BitLocker」の回復キーが必要になる問題を解決

・Windows WLAN AutoConfig サービスの特権の昇格の脆弱性（CVE-2024-38143）に対処。ロック画面でWi-Fiへ接続するときに「Windowsユーザーアカウントを使用する」チェックボックスは利用できない

・レジストリキー「NetJoinLegacyAccountReuse」が削除。セキュリティ強化の一環

　なお、「Windows 11 バージョン 23H2」と「Windows 11 バージョン 22H2」のパッチは共通。「イネーブルメントパッケージ」（eKB：有効化パッケージ）と呼ばれる小さなパッチで機能の有効・無効を切り替えているだけなので、アップグレードは比較的短時間で済む。

　また、「Windows 11 バージョン 21H2」（Enterprise、Education、およびIoT Enterpriseエディション）と「Windows 11 バージョン 22H2」（HomeおよびProエディション）は、米国時間10月8日をもってサービスを終了する。サービス終了後はセキュリティパッチなどの配信が行われなくなるため、利用の継続はお勧めできない。後継バージョンへのアップグレードを急ぎたい。

■ Microsoft Office関連のソフトウェア

　「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。

・

・Microsoft Office の 2024 年 8 月の更新プログラム - Microsoft サポート

■ Microsoft Edge

　「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間8月8日にリリースされたv127.0.2651.98。

　ツールバーに「更新」という赤い文字が表示されたら、すぐにアップデートを実施しておきたい。

■ Microsoft Visual Studio

　「Microsoft Visual Studio」では、2件の脆弱性が修正された。

・CVE-2024-38167（重要：情報漏えい）

・CVE-2024-38168（重要：サービス拒否）

　以下のバージョンでアップデートが提供中だ。